iSecure logo
Blog

Zbycie / pozyskanie przedsiębiorstwa a obowiązki wynikające z RODO

Wstęp

Zbycie przedsiębiorstwa lub jego części jest powszechną formą transakcji handlowej obejmującą przeniesienie własności przedsiębiorstwa wraz z jego aktywami z jednego podmiotu na drugim. Sam proces sprzedaży przedsiębiorstwa jest skomplikowanym, wielowątkowym procesem prawnym. Niemniej, w niniejszym artykule postaramy się odpowiedzieć na pytanie, w jaki sposób podczas transakcji zbycia przedsiębiorstwa zadbać o przetwarzanie danych osobowych zgodnie z wymogami RODO.

Proces due diligence

Zanim jednak dojdzie do ostatecznej sprzedaży / nabycia przedsiębiorstwa bardzo często mamy do czynienia z tzw. „badaniem due diligence”. Przez due diligence należy rozumieć badanie stanu prawnego przedsiębiorstwa przed jego nabyciem. Podmiot nabywający musi być pewny, że przedsiębiorstwo, które zamierza kupić jest w dobrym stanie finansowym, prawnym i organizacyjnym. Badanie due diligence najczęściej przeprowadzone jest przez specjalistyczne podmioty audytowe na zlecenie nabywającego. Inspektor Ochrony Danych (dalej jako „IOD”) spółki, która jest poddawana audytowi, powinien przeanalizować zakres i celowość udostępnianych danych w ramach due diligence. W większości przypadków audytor wymaga przesłania szeregu dokumentów, w tym dokumentów, sprawozdań finansowych, w których widnieją dane osobowe: klientów, pracowników, współpracowników. Zawsze w takich przypadkach pojawia się słuszne pytanie o zakres udostępnianych danych.

W większości przypadków przed przeprowadzeniem badania due diligience dochodzi do zawarcia umowy pomiędzy audytorem, a audytowanym określającej szczegóły prowadzonych czynności audytowych. W pierwszej kolejności IOD powinien zweryfikować taką umowę w zakresie postanowień dotyczących ochrony danych osobowych. Co do zasady, audytorzy występują w roli oddzielnego administratora danych osobowych.  Wynika to z przyjętego stanowiska przez PUODO w odpowiedzi na pytanie zadane przez Polską Izbę Biegłych Rewidentów (por. https://uodo.gov.pl/pl/225/1248). Organ nadzorczy wyraźnie stwierdził, że firmy audytorskie ze względu na cele przetwarzania oraz obowiązuję ich przepisy prawa występują w roli oddzielnego administratora danych. W związku z powyższym przed badaniem, due diligence nie jest konieczne zawarcie umowy powierzenia przetwarzania danych z firmą audytorską. Niemniej, konieczne jest zweryfikowanie postanowień dotyczących ochrony danych osobowych. Przy badaniach due diligence najważniejsze z perspektywy ochrony danych osobowych jest zwrócenie uwagi na realizacje zasady minimalizacji danych osobowych. Zgodnie z zasadą minimalizacji danych należy przetwarzać wyłącznie te dane osobowe, które rzeczywiście są niezbędne do realizacji celów przetwarzania. Przed rozpoczęciem badania due diligence konieczne wspólne ustalenie z podmiotem audytującym jaki zakres danych osobowych jest niezbędny do przeprowadzenia badania stanu prawnego przedsiębiorstwa. W związku z powyższym rekomendowane jest:

  1. Ustalenie przed rozpoczęciem due diligence zakresu danych osobowych, które są rzeczywiście niezbędne do przeprowadzenia badania. Podmiot audytujący, jak i podmiot udostępniający powinni być w stanie uzasadnić celowość przekazywanych danych.
  2. Tam, gdzie jest to możliwe – udostępniać dokumenty w formie zanonimizowanej lub pseuodonimizowanej.

 Nabycie przedsiębiorstwa – co ze zgodami, obowiązkami informacyjnymi, umowami powierzeniami?

Zgodnie z art. 494 par. 1 kodeksu spółek handlowych spółka przejmująca albo spółka nowo zawiązana wstępuje z dniem połączenia we wszystkie prawa i obowiązki spółki przejmowanej albo spółek łączących się przez zawiązanie nowej spółki. Jest to tzw. sukcesja uniwersalna praw i obowiązków. Te zasady należy również dostosować do kwestii praw i obowiązków związanych z przetwarzaniem danych osobowych. W pierwszej kolejności spółka wstępujące w prawa i obowiązki spółki oddającej, powinna zweryfikować czy procesy i cele przetwarzania danych przez spółkę nabywające będą takie same jak poprzednio. Jeżeli tak, to należy przyjąć, że wyrażone wcześniej zgody i przekazane obowiązki informacyjne zachowują ważność. Nie oznacza to jednak, że osoby fizyczne nie powinny otrzymać żadnego komunikatu. W przypadku nabycia przedsiębiorstwa, nowy podmiot prawny powinien powiadomić podmioty danych o nowym administratorze danych i jego danych kontaktowych. Wyrażone zgody na przetwarzanie danych osobowych pozostaną aktualne. Nie zmienia to jednak faktu, że w ramach wyrażonych zgód, należy poinformować o nowym administratorze danych osobowych i jego danych rejestrowych. Dodatkowo, rekomendowane jest poinformowanie o możliwości wycofania zgody w każdym momencie.

Jeżeli w ramach wyrażonej wcześniej zgody, nowa spółka zamierza realizować inne cele przetwarzania, automatycznie należy będzie pozyskać nową, zaktualizowaną o nowe cele zgodę na przetwarzanie danych osobowych. W przypadku, gdy nowy podmiot zdecyduje o tym, że w niektórych procesach przetwarzania dojdzie do zmiany celu przetwarzania – każda taka zmiana, powinna pociągać za sobą konieczność szczegółowego poinformowania podmiotu danych. Komunikacja o zmianach powinna nastąpić w taki sposób, aby ich odbiorcy mogli się z nią łatwo zapoznać np. poprzez wiadomość mailową, tradycyjną korespondencje, komunikat w aplikacji, okienko pop-up itd.

Ponadto, konieczna jest aktualizacja i zweryfikowanie rejestrów czynności przetwarzania o stare i nowe cele przetwarzania. Jednocześnie, nowy podmiot musi poinformować wszystkie podmioty, z którymi wcześniej zostały zawarte umowy powierzenia o wstąpieniu w prawa i obowiązki zbywcy przedsiębiorstwa. Jeżeli charakter powierzenia nie ulegnie zmianie, umowy powierzenia zachowają aktualność, zgodnie z zasadą sukcesji uniwersalnej.

Pobierz wpis w wersji pdf

Podobne wpisy:

Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych

Niebezpieczeństwa usług internetowych

Internet zrewolucjonizował nasze życie, pozwolił nam na wyrażanie naszego zdania oraz szybkie pozyskiwanie informacji na interesujące nas tematy. Jednym z dobrodziejstw Internetu jest rozszerzenie zakresu i ilości usług świadczonych drogą elektroniczną oraz łatwiejszy dostęp do internetowych aplikacji.  W Internecie na użytkownika czyha wiele ryzyk, które mogą naruszyć jego prywatność lub spowodować straty materialne, dlatego bardzo […]

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych

Wśród specjalistów, którzy pracują na styku prawa i nowych technologii trwa dyskusja czy przepisy Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) stoją w sprzeczności z fundamentami działania technologii rejestrów rozproszonych, jak Bitcoin, Ethereum czy Ripple. Jeśli jednak przyjrzeć się fundamentom działania rejestrów rozproszonych, to okaże się, że obawy dotyczące RODO nie mają podstaw. Mało tego, przepisy RODO w wielu wypadkach w ogóle mogą nie mieć zastosowania w odniesieniu do rejestrów rozproszonych.

Aplikacje mobilne i webowe, a plan kontroli UODO

Niniejszy artykuł omawia plan kontroli sektorowych na rok 2023, przyjęty przez Urząd Ochrony Danych Osobowych (UODO) w Polsce. Należy zaznaczyć, że kontrola będzie obejmować różne podmioty, które przetwarzają dane osobowe w ramach określonych sektorów. W szczególności, plan kontroli dotyczy organów przetwarzających dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym (SIS/VIS), jak również podmiotów […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki